Lo spettro e la fusione sono ancora una minaccia? Le patch di cui hai bisogno

spettro-fusione-sicurezza

Le rivelazioni sulla vulnerabilità del processore Spectre e Meltdown sono state un inizio scioccante fino al 2018. Le vulnerabilità interessano quasi tutti i processori, praticamente in ogni sistema operativo e architettura. I produttori di processori e gli sviluppatori di sistemi operativi hanno emesso rapidamente patch per proteggersi dalle vulnerabilità.

Ma c'erano anche alcuni problemi di dentizione.

Ora, a distanza di un anno dalle relazioni iniziali, siamo più vicini a correggere realmente le vulnerabilità di Meltdown e Spectre?

Vulnerabilità Spectre e Meltdown Latest

Le vulnerabilità di Spectre e Meltdown scoperte all'inizio del 2018 continuano a incidere sull'informatica. Il tracollo interessa specificamente i microprocessori Intel che risalgono al 1995. La longevità di questo problema significa che la maggior parte dei processori Intel mondiali sono a rischio e persino servizi come Microsoft Azure e Amazon Web Services.

Lo spettro ha un effetto globale simile. La vulnerabilità di Spectre riguarda i microprocessori di Intel, così come altri importanti progettisti tra cui AMD e ARM. Pertanto, Spectre e Meltdown rendono vulnerabile la maggior parte dei computer del mondo, una situazione che risale a oltre 20 anni fa.

Comprensibilmente, le rivelazioni continuano a causare costernazione per i consumatori e le imprese allo stesso modo. La preoccupazione è multiforme. Intel, AMD e ARM hanno rilasciato tutte le patch per le vulnerabilità; quelle patch funzioneranno? È più semplice sostituire intere scorte di microprocessori? Quando arriverà sul mercato un processore completamente sicuro? E per quanto riguarda il costo?

"Non abbiamo mai visto un bug così espansivo come questo che impatta letteralmente su tutti i principali processori", afferma David Kennedy, CEO di TrustedSec, che fa penetration testing e security consulting per le aziende.

"Sono stato su almeno dieci chiamate la scorsa settimana con grandi compagnie e due ieri hanno spiegato cosa sta succedendo. Non hanno idea di cosa fare quando si tratta di patch. Sta davvero causando un casino. "

Spettro di prossima generazione

No, non è il crossover di James Bond-Star Trek che stavi sognando. Spectre Next Generation è la seconda generazione di vulnerabilità Spectre. La seconda generazione è stata scoperta dal Project Zero di Google (che ha anche rivelato la prima generazione).

Project Zero è la task force di Google per la ricerca e la divulgazione responsabile delle vulnerabilità zero-day prima che le persone malvagie le scoprano.

Non ho intenzione di immergere tutti i dettagli qui, ma ecco un articolo che spiega le implicazioni di Spectre Next Generation .

Ci sono macchie di Spectre e Meltdown?

L'ampia gamma di dispositivi vulnerabili offre un altro problema. Ogni tipo di hardware richiede una soluzione individualmente elaborata leggermente diversa. Il processo di patch da gennaio 2018 è stato a dir poco sbalorditivo.

spettro e fusione ancora sicuri

Intel si è affrettata a sviluppare e rilasciare una patch di sicurezza. Il lato negativo era seri problemi di prestazioni. Intel ha affermato infame che "qualsiasi impatto sulle prestazioni dipende dal carico di lavoro e, per l'utente medio del computer, non dovrebbe essere significativo e verrà mitigato nel tempo". La dichiarazione non era vera e rimane tale al momento della scrittura.

Anche i processori più recenti che arrivano sul mercato ne sentono ancora gli effetti.

Infatti, il 22 gennaio 2018, Intel ha ritirato una delle sue patch Spect perché causava un problema di riavvio casuale. Intel ha suggerito che gli amministratori di rete dovrebbero semplicemente annullare tutti gli aggiornamenti già installati, con il vice presidente esecutivo di Intel Neil Shenoy dicendo "Mi scuso per eventuali interruzioni che questo cambiamento di orientamento potrebbe causare". VMware, Lenovo e Dell hanno fatto annunci simili allo stesso tempo.

Quindi, alla fine di gennaio, Microsoft ha anche annunciato che le patch Spectre e Meltdown per Windows 10 stavano compromettendo le prestazioni e causando errori fatali casuali, confermando che le loro correzioni di sicurezza erano errate.

Oh, e Apple ha analogamente ritirato le affermazioni riguardanti le protezioni per le macchine più vecchie, rilasciando una pletora di patch per High Sierra, Sierra ed El Capitan.

Linus e Linux

Linus Torvalds, creatore e principale sviluppatore del kernel Linux, rimane molto critico sull'intero processo di patch Spectre / Meltdown. ( Che cos'è un kernel, comunque? ). In effetti, Torvalds si è spinto fino a dichiarare le patch Intel come "COMPLETE AND UTTER GARBAGE".

Puoi leggere il resto della sua tirata qui . Vale la pena leggere.

Linus ha analizzato le patch. Ha trovato che Intel tentava di rendere le patch di sicurezza opzionali, così come quelle basate sul sistema operativo, in modo che non dovessero rinnovare completamente il loro design della CPU (che è l'unica opzione per una vera sicurezza – spiegherò perché in un momento).

Un'alternativa sarebbe l'emissione di due patch in cui si abilitano le patch di sicurezza e una seconda che implementa le correzioni al kernel.

Invece, Torvalds sostiene che Intel sta costringendo i due a sorvolare i risultati delle prestazioni consentendo una "Modalità sicura opzionale", in base a
lla quale l'utente deve optare per la propria CPU nella correzione e fare in modo che le prestazioni colpiscano la decisione dei clienti, piuttosto che Intel prendere il flak . Inoltre, se e quando gli utenti avviano un vecchio sistema operativo che non ha mai conosciuto la patch, saranno immediatamente vulnerabili.

Il 29 gennaio è stato reso disponibile il kernel di Linux 4.15, con funzionalità di sicurezza recentemente ampliate nelle CPU Intel e AMD su dispositivi Linux. E mentre Linus Torvalds era focalizzato su Linux, è chiaro che le patch di Intel non erano all'altezza per nessun sistema operativo.

La Cina sapeva dello spettro e della fusione?

Nonostante Intel abbia schivato una pallottola per quanto riguarda i suoi rapporti sui guadagni (nonostante la vulnerabilità critica riscontrata nella maggior parte dei computer del mondo, Intel guadagna abbastanza bene), Intel ha fatto un sacco di critiche per aver rivelato sia Meltdown che Spectre ai suoi massicci clienti cinesi, come Alibaba e Lenovo, prima che parlasse al governo degli Stati Uniti.

Diverse importanti agenzie statunitensi sono state informate di Spectre e Meltdown solo quando le segnalazioni sono diventate pubbliche, piuttosto che qualsiasi processo di notifica pre-divulgazione. E anche se non vi è alcuna indicazione che l'informazione sia stata usata impropriamente (ad esempio, trasmessa e utilizzata dal governo cinese), solleva preoccupazioni significative sulla scelta di Intel di chi informare.

Data la profondità e la portata della sorveglianza cinese su Internet, sembra del tutto improbabile che il governo cinese non fosse a conoscenza delle vulnerabilità di fronte al governo degli Stati Uniti.

Fixter Retter Spectre per Windows 10

Retpoline è un "costrutto software per prevenire l'iniezione di target-branch". In altre parole, è una patch che protegge contro Spectre introducendo un ramo di previsione alternativo, mantenendo il sistema al sicuro dagli attacchi di speculazione in stile Spectre.

Nel dicembre 2018, Microsoft ha reso disponibile la correzione per retpoline per il suo programma Insider. Il programma Insider e le Anteprime di Insider sono dove Microsoft testa la versione imminente di Windows 10 prima che arrivi alla versione mainstream. L'ultimo aggiornamento, 19H1, contiene l'aggiornamento di retpoline.

Tuttavia, nel marzo 2019, Microsoft ha annunciato che la correzione del retpoline è disponibile per chiunque voglia scaricarlo. Ci sono un paio di clausole:

  • Il sistema deve essere in esecuzione l'aggiornamento di Windows 10 ottobre 2018.
  • La correzione funziona solo per i processori Intel Skylake precedenti e precedenti (la correzione funziona anche per le macchine AMD, i lettori AMD).

Non sei sicuro di quale versione di Windows 10 stai attualmente utilizzando? Premere il tasto Windows + I , quindi Sistema> Informazioni. È possibile visualizzare la versione corrente di Windows in base alle specifiche di Windows . Se dice 1809, puoi installare l'aggiornamento. In caso contrario, dovrai attendere fino a quando la tua versione di Windows non sarà disponibile.

L'aggiornamento del retpoline, KB4470788 , arriverà sul tuo sistema tramite il normale processo di aggiornamento di Windows. Tuttavia, è possibile scaricare l'aggiornamento KB4470788 tramite il catalogo di Microsoft Update . Scarica la versione corretta per l'architettura del tuo sistema operativo (ad es. X64 per 64-bit, x86 per 32-bit), quindi installa.

Lo spettro e la fusione si risolveranno per sempre?

Le prime generazioni di patch Spectre e Meltdown erano soluzioni temporanee. L'onere non dovrebbe ricadere sui consumatori per abilitare le patch per il blocco delle vulnerabilità, né tanto meno per decidere sul trade-off tra i problemi di sicurezza a livello di kernel e gli hit delle prestazioni della CPU. È semplicemente ingiusto, per non dire del tutto immorale.

Controllo di fusione di Windows 10

Il lento avvio delle correzioni di retpoline è migliore per i consumatori, rattoppando le vulnerabilità del sistema e riportando la velocità del sistema ai livelli precedenti. Tuttavia, alcuni utenti non hanno il vantaggio di una correzione di retpoline, quindi non è un cerotto magico.

All'inizio del 2018, il rapporto finanziario di Intel riportava le informazioni del CEO Brian Krzanich che prometteva che i chip con vere riparazioni hardware avrebbero iniziato a essere spediti quest'anno. Sfortunatamente, Krzanich non ha elaborato il significato di quella dichiarazione audace.

Tuttavia, poiché Krzanich ha confermato che Intel prevede di continuare a sviluppare i suoi prodotti a 14 nm (CPU Intel dal 2014 in poi, Kaby Lake, Coffee Lake, Skylake, ecc.) Nel 2018. Ciò crea possibilità: correzioni "in silicio" per l'attuale generazione di CPU e correzioni per i prossimi processori Cannon Lake, o uno o l'altro.

Più tardi nel 2018, Intel ha annunciato che le correzioni hardware, ovvero una soluzione al silicio basata su processore, arriveranno con l'imminente generazione di CPU Intel. Alcune correzioni verranno implementate con la serie di processori a basso consumo, Whiskey Lake, mentre altri arriveranno con i processori di 10 ° generazione, Ice Lake. Anche la nuova generazione di CPU Intel dovrebbe proteggere dalla vulnerabilità di Foreshadow .

Pensi di non essere influenzato da Spectre e Meltdown? Controlla l' elenco dell'hardware del computer non interessato dalle vulnerabilità e ripensaci.

Leggi l'articolo completo: Spectre e Meltdown sono ancora una minaccia? Le patch di cui hai bisogno

Fonte: Utilizzare